AndroidGoogle

Google lascia nei guai quasi un miliardo di utenti Android

Quando si tratta di fornire aggiornamenti di sicurezza per le versioni precedenti, i diversi produttori seguono strategie diverse. Alcuni, come Microsoft, tendono a fornire aggiornamenti di sicurezza a lungo dopo che hanno smesso di vendere un sistema operativo (Microsoft ha smesso di fornire supporto a Windows XP soltanto l’anno scorso). Altri, come Google e Apple, usano scadenze stringenti per gli aggiornamenti di sicurezza. Google adesso ci sta dando dentro con questa mossa, rifiutando di correggere i bug di Android 4.3 o precedente, anche quando essi potrebbero esporre vulnerabilità critiche in quasi un miliardo di dispositivi.

I difetti in questo caso riguardano Android da 4.1 a 4.3, ossia Jelly Bean, che ha iniziato a diffondersi a metà 2012 ed è la versione più diffusa di Android dalla fine del 2013, circa 14 mesi fa. Fino a poco tempo fa, Google ha aggressivamente risolto alcuni problemi nel motore di rendering WebView di Android. Prima di KitKat (Android 4.4), tutte le versioni di Android utilizzavano la versione di WebView che si trovava all’interno del browser di Android per il rendering HTML delle pagine web. Con KitKat e Lollipop, Google ha aggiornato il sistema operativo per utilizzare un plugin di WebView derivato dal suo progetto Chromium.

google-aggiornamento-android-informatblog

Quando l’azienda di sicurezza Rapid7 ha scoperto un nuovo exploit della versione del browser Android di WebView, ha contattato Google per informare la compagnia che Android 4.3 e inferiori erano vulnerabili. La risposta di Google e il cambiamento della politica fanno storcere il naso a molti. In particolare, l’azienda afferma che:

Se la versione interessata di WebView è precedente ad Android 4.4, in genere non sviluppiamo noi le patch, ma diamo il benvenuto a patch a titolo oneroso. Oltre che notificare le aziende, non saremo in grado di intervenire su qualsiasi problema che sta interessando le versioni precedenti alla 4.4 che non sono accompagnate da una patch.

diffusione-android-informatblog

Dal grafico qua sopra si nota la diffusione delle varie versioni di Android: non è un problema piccolo in quanto il 60% degli utenti del sistema operativo mobile di Google stanno utilizzando versioni antecedenti a KitKat. Notate bene che ancora nessuno sta utilizzando Android 5.0 Lollipop.

In altre parole, il team di sicurezza deve adesso presentare una patch per correggere un problema quando la riportano. Se lo fanno, Google “considera” la patch per vedere se si risolve il problema. Se non lo fanno, Google dice che l’unica cosa che può fare è informare i vari produttori del problema.

Ciò che Google sta facendo, in sostanza, è dire alla sua comunità di utenti “Ci dispiace, dovete dire a Samsung, LG e Motorola di fornire una versione aggiornata del nostro sistema operativo”. Questo è esilarante e impossibile. Non funzionerebbe mai nel mondo dei PC – immaginate Microsoft che racconta clienti “Mi dispiace, dovete chiedere ad HP, Dell e Lenovo e vi sarà fornito un aggiornamento gratuito per il nostro sistema operativo”. La disparità è ancora più grande se si considera che, nella maggior parte dei casi, un computer che esegue una versione precedente di Windows può essere aggiornato dall’utente alla versione successiva. Questo aggiornamento può essere un problema, ma i requisiti di sistema di Windows non cambiano da nove anni.

L’acquirente medio di smartphone o tablet non ha modo di aggiornare il proprio sistema operativo a meno che non gli venga offerto un aggiornamento OTA, e cicli di aggiornamento di due anni significano che molte persone sono bloccate su dispositivi con exploit noti che Google non sta sistemando. Certo, il fatto che Google corregge un exploit non significa che venga poi distribuito, e la frammentazione è un problema importante nell’ecosistema di Android nel corso degli anni – ma c’è una differenza tra il riconoscere la difficoltà di mantenere aggiornamenti di sicurezza per la totalità della base di utenti e rifiutarsi categoricamente di farli.

Android open-source? Non più

Una ragione ovvia per Google per smettere di risolvere i problemi ad Android Browser è che la società si sta muovendo in modo aggressivo per far smettere alle aziende di usare le caratteristiche open-source di Android e di sostituirle con le caratteristiche che potranno prendere in licenza direttamente da Google. Ars Technica ha scritto molto a riguardo, e sbarazzarsi del Browser Android è un aspetto chiave per allontanarsi da un Android che è in realtà mantenuto aggiornato e utile.

No, Google non sta uccidendo Android – vuole solo garantire che le uniche parti del programma che otterranno aggiornamenti di funzionalità, miglioramenti delle capacità e miglioramenti delle prestazioni saranno le parti che richiedono accordi di licenza e promette di non sviluppare prodotti concorrenti. La ragione per cui il Kindle Fire di Amazon ha il suo App Store e il continuo interesse di Samsung in Tizen sono entrambi il risultato della spinta di Google di inserirsi al centro del business mobile, togliendo l’idea di open source.

Gettando tutta la responsabilità per gli aggiornamenti di sicurezza alle aziende e ricercatori di sicurezza, Google sta dicendo che esse possono o accettare le sue condizioni di licenza o assumersi la responsabilità di effettuare aggiornamenti di sicurezza che non sono in genere qualificati o finanziati. E’ un trucco degno della Microsoft dei vecchi tempi, ed è particolarmente divertente vedere l’azienda far questo, dato che ha gettato fango su Microsoft in dicembre quando ha pubblicato i dettagli di una falla di sicurezza due giorni prima che Microsoft la sistemasse, sulla base del fatto che l’azienda non si muoveva abbastanza velocemente.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Le guide più interessanti